Форматы syslog на MES14xx/24xx/3400-xx/37xx

Формат по умолчанию

Данный формат является форматом по умолчанию, если нет дополнительных настроек формата

Пример сообщения

<134> 31-Jan-2000 22:18:28.690 CFA-6-Interface gi 0/24 link status UP
<134> 31-Jan-2000 22:18:31.700 AST-6-[Instance 0] Interface gi 0/24 is moved to state Learning

Разбор PRI Part

Чтобы понять, к какому типу важности относится сообщение, необходимо обратиться к PRI Part (то, что присутствует в начале каждой строки, например <134>).

Есть общепринятая формула по ее расчету:

<PRI> = ( <facility> * 8) + <severity>

Значение facility можно взять из RFC 5424 (The Syslog Protocol): https://datatracker.ietf.org/doc/html/rfc5424#section-6.2.1

Уровень severity можно определить по документации к данной линейке коммутаторов (таблица 139).

Рассмотрим пример. На коммутаторе есть следующее сообщение:

<134> 21-Jan-2025 11:57:59.010 CLI-6-User admin logged in via ssh from X.X.X.X

Необходимо определить степень его важности.

По умолчанию, на коммутаторе установлен facility = local0, т.е. Code = 16. Опираясь на приведенную выше формулу, получаем:

 <134> = ( 16 * 8) + X.

X = 6 , что соответствует информационную типу важности сообщения.

Формат c hostname/ip

В ISS можно включить добавление в syslog сообщение идентификатора устройства

console(config)#logging hostname-format ?
 
hostname                            Sets system hostname as the hostname field
ip                                  Sets IP address of the sending interface
                                    as the hostname field
ipv6                                Sets IPv6 address of the sending interface
                                    as the hostname field
string                              Sets user-defined string as the hostname
                                    field

Пример сообщения

<134> 31-Jan-2000 22:26:48.900 192.168.65.25 CFA-6-Interface gi 0/24 link status UP
<134> 31-Jan-2000 22:26:51.920 192.168.65.25 AST-6-[Instance 0] Interface gi 0/24 is moved to state Learning

Формат Timestamp

На ISS есть возможность добавления timestamp в формате RFC5424

console(config)#logging timestamp-format rfc5424 ?
 
<CR>                                Sets timestamp format to RFC5424:
                                    <2000-01-01T00:00:00.00Z>

Пример сообщения

<134> 2000-01-31T22:43:15.220Z 192.168.65.25 CFA-6-Interface gi 0/24 link status UP
<134> 2000-01-31T22:43:18.230Z 192.168.65.25 AST-6-[Instance 0] Interface gi 0/24 is moved to state Learning

Формат CEF

Формат CEF включается только для удалённого syslog-сервера командой (доступно, начиная с версии 10.4.3):

console(config)# logging ipv4 10.10.10.1 msg-format cef

Пример сообщений

CEF:0|Eltex|MES2424P rev.C1|ESD1028071|13004|CFA INTERFACEDOWN|4|msg= Interface gi 1/0/9 link status DOWN  

Формат CEF с Origin ID

Пример сообщения

Feb  4 13:39:10 1-Jan-2000 02: 11:54.560 host CEF:0|Eltex|MES2424P rev.C1|ESD1028071|13004|CFA INTERFACEDOWN|4|msg= Interface gi 1/0/9 link status DOWN